Le smishing expliqué : qu'phishing par SMS et comment s'en protéger

Aperçu de la situation

Le smishing domine phishing mobile. Les attaques par SMS représentent 69,3 % de l'ensemble phishing visant les appareils mobiles phishing mishing), avec une augmentation de 22 % du nombre d'incidents par rapport à l'année précédente.
Les violations de sécurité dans les entreprises commencent souvent par un SMS. Les incidents très médiatisés chez Twilio, Uber et MGM Resorts ont tous été attribués à des techniques d'ingénierie sociale par SMS, qui ont servi de vecteur d'accès initial.
Les plateformesPhishing industrialisent le smishing. Des écosystèmes criminels tels que Darcula et Lucid ont enregistré plus de 194 000 domaines malveillants depuis janvier 2024 et exploitent désormais l'IA générative pour créer des leurres multilingues.
L'authentification multifactorielle par SMS constitue un risque. La CISA et le FBI déconseillent formellement l'authentification multifactorielle par SMS et exhortent les organisations à adopter des solutions FIDO2/WebAuthn phishing.
La détection post-intrusion est essentielle. Lorsqu'un message de smishing parvient à contourner les mesures de prévention, l'analyse comportementale et l'analyse des signaux basée sur l'IA permettent de repérer les prochaines manœuvres de l'attaquant : utilisation abusive des identifiants, déplacement latéral et exfiltration de données.

Chaque jour, des milliards de SMS sont reçus sur les appareils mobiles à travers le monde. Les pirates le savent bien — et ils exploitent la confiance que les gens accordent aux SMS pour contourner les contrôles de sécurité des e-mails que les entreprises ont mis des années à mettre en place. Selon le rapport « 2025 Data Breach Investigations Report » de Verizon, 16 % des violations de données ont débuté par phishing 60 % impliquaient une action humaine, faisant de l'ingénierie sociale le vecteur d'accès initial le plus récurrent en matière de cybersécurité. Le smishing — phishing par SMS — s'est développé pour devenir le canal dominant des attaques ciblant les appareils mobiles, entraînant 470 millions de dollars de pertes pour les consommateurs rien qu'en 2024, selon la FTC. Pour les équipes de sécurité, le smishing n'est plus une simple nuisance pour les consommateurs. Il s'agit d'une menace de niveau entreprise qui exige une stratégie de défense multicouche.

Qu'est-ce que le smishing ?

Le smishing est une attaque d'ingénierie sociale dans laquelle des cybercriminels envoient des SMS frauduleux — via SMS, RCS ou iMessage — afin d'inciter les destinataires à cliquer sur des liens malveillants, à divulguer des informations sensibles ou à installer malware. Le terme combine « SMS » et «phishing » pour décrire ce vecteur d'attaque axé sur les appareils mobiles.

Le smishing s'inscrit dans la taxonomie plus large du « mishing », un terme générique inventé par Zimperium pour désigner l'ensemble phishing ciblant les appareils mobiles, y compris phishing vocal phishing vishing) et phishing par code QR phishing quishing). Parmi tous les types d'attaques de mishing, le smishing est de loin le plus répandu. Selon le rapport mondial 2025 de Zimperium sur les menaces mobiles, 69,3 % de toutes phishing ciblant les appareils mobiles se font par SMS.

L'ampleur du problème ne cesse de croître. Selon une étude de Zimperium, les incidents liés au smishing ont augmenté de 22 % en 2025 par rapport à l'année précédente, et 75 % des entreprises ont été victimes d'attaques de smishing en 2023, d'après le rapport « State of the Phish » 2024 de Proofpoint — qui constitue la dernière enquête annuelle disponible sur la prévalence du smishing au sein des entreprises.

Pourquoi le smishing constitue une menace pour les entreprises

La raison pour laquelle le smishing fonctionne si bien est simple : les gens font confiance aux SMS. Les taux de clics sur les SMS varient entre 8,9 % et 14,5 %, contre environ 2 % pour phishing par e-mail. Les messages arrivent sur des appareils personnels qui ne bénéficient pas toujours des contrôles de sécurité mis en place par l'entreprise, et la petite taille de l'écran rend plus difficile la vérification des URL avant de cliquer.

Les conséquences pour les entreprises sont graves. La violation de Twilio en août 2022, la compromission d'Uber en septembre 2022 et l'attaque contre MGM Resorts en septembre 2023 ont toutes commencé par une ingénierie sociale via SMS ou mobile, qui a servi de vecteur d'accès initial. Il ne s'agissait pas d'escroqueries visant les consommateurs, mais de campagnes coordonnées menées par des cybercriminels — et elles ont entraîné la compromission de centaines de comptes, l'accès à des systèmes internes et des pertes dépassant les 100 millions de dollars.

Comment fonctionnent les attaques par smishing

Une attaque par smishing suit un schéma prévisible, même si le niveau de sophistication de chaque étape a considérablement augmenté avec l'essor des plateformes phishing(PhaaS) et de l'IA générative.

Déroulement de l'attaque :

Création d'appâts — L'attaquant rédige un SMS destiné à susciter un sentiment d'urgence, de peur ou de curiosité. Ces messages se font passer pour des banques, des organismes publics, des employeurs ou des services de livraison.
Envoi des messages — Le message publicitaire est envoyé par SMS classique, RCS ou iMessage. Les plateformes PhaaS exploitent désormais ces trois canaux pour contourner les filtres mis en place par les opérateurs.
Interaction avec la victime — Le destinataire clique sur un lien qui le redirige vers une page destinée à récupérer ses identifiants, conçue pour imiter un portail de connexion légitime, ou qui déclenche malware .
Exfiltration de données — Les identifiants récupérés sont utilisés pour Usurpation de compte, d'accès non autorisé, ou vendues sur des marchés criminels.
Activités post-intrusion — Les pirates utilisent les identifiants volés pour se déplacer latéralement, obtenir des privilèges supplémentaires et s'enfoncer plus profondément dans le réseau.

Plusieurs nouvelles techniques de diffusion rendent le smishing plus difficile à détecter. Le service iMessage d'Apple désactive par défaut les liens provenant d'expéditeurs inconnus, mais les pirates demandent désormais aux destinataires de « répondre Y » pour les réactiver — une technique documentée par BleepingComputer qui contourne efficacement phishing intégrée d'Apple. Au Royaume-Uni, les autorités ont arrêté des individus utilisant des « SMS blasters » montés sur des véhicules — des appareils physiques qui imitent les antennes-relais pour envoyer des messages de smishing directement aux téléphones à proximité, contournant ainsi complètement le filtrage des opérateurs (SecurityWeek). Des chercheurs de Sekoia ont également documenté des campagnes de smishing silencieuses exploitant des API de routeurs vulnérables (CVE-2023-43261 sur les routeurs Milesight) pour envoyer des messages à l'insu du propriétaire de l'appareil (Sekoia).

Peut-on se faire pirater en répondant à un SMS ? Dans de nombreux cas, oui. Le simple fait de répondre à un message de smishing confirme que le numéro est actif et peut entraîner d'autres tentatives de piratage. Dans le cas de l'iMessage « Répondre Y », le fait de répondre directement désactive un contrôle de sécurité, exposant ainsi l'utilisateur à des liens malveillants.

L'écosystème du « phishing »

Le changement le plus marquant dans le domaine du smishing est l'émergence des plateformes phishing(PhaaS), qui fournissent une infrastructure criminelle clé en main à l'échelle industrielle. Des plateformes telles que Darcula, Lucid et Lighthouse proposent des kits de smishing prêts à l'emploi — comprenant des modèles de messages, des pages de collecte d'identifiants, une infrastructure de diffusion et des tableaux de bord de suivi — pour seulement 8 dollars les 1 000 messages via des services comme Oak Tel (Resecurity).

Les chiffres sont stupéfiants. Les recherches menées par Unit 42 ont permis d'identifier 194 345 domaines malveillants liés à des campagnes de smishing menées depuis la Chine depuis janvier 2024, avec environ 600 groupes criminels utilisant cette infrastructure. En l'espace de sept mois, quelque 884 000 cartes de paiement ont été compromises rien que par le biais de ces plateformes (Infosecurity Magazine).

L'intégration de l'IA générative rend ces plateformes encore plus dangereuses. En avril 2025, Darcula a ajouté des fonctionnalités d'IA générative permettant la création automatisée phishing multilingues (The Hacker News), ce qui permet aux opérateurs de créer des leurres convaincants dans n'importe quelle langue sans recourir à la traduction humaine. Des études indiquent que les messages de smishing générés par des modèles de langage (LLM) sont 24 % plus efficaces que ceux rédigés par des humains, ce qui réduit encore davantage les obstacles à la mise en place de campagnes phishing basées sur l'IA.

Fin 2025, Google a engagé des poursuites au titre de la loi RICO contre les exploitants de Darcula et Lighthouse (NBC News), marquant ainsi une intensification des poursuites judiciaires à l'encontre des infrastructures PhaaS. Cependant, la nature décentralisée de ces plateformes fait que leur fermeture n'a qu'un effet durable limité.

Types d'attaques par smishing

Les attaques par smishing varient selon le type d'appât utilisé et la cible visée. Le tableau ci-dessous présente les catégories les plus courantes, chacune étayée par des campagnes réelles observées par des chercheurs en sécurité.

Types courants d'attaques par smishing et leurs caractéristiques distinctives :

Type	Leurs leurres habituels	Cible	Niveau de risque
Usurpation d'identité d'un établissement financier	« Activité suspecte sur votre compte », « Compte verrouillé »	Coordonnées bancaires, numéros de carte	Haut
Usurpation d'identité d'une administration ou d'un organisme public	Péages impayés, remboursements d'impôts, vérification des prestations	Données à caractère personnel, informations de paiement	Haut
Notifications d'expédition/de livraison	« Le colis n'a pas pu être livré », mises à jour du suivi	Détails de paiement, identifiants	Moyenne
Usurpation d'identité informatique/professionnelle	Réinitialisation des mots de passe, collecte des identifiants SSO, mises à jour des politiques	Identifiants d'entreprise, codes d'authentification multifactorielle	Critique
Arnaques aux lots ou aux récompenses	Cartes-cadeaux, gains de loterie, récompenses de fidélité	Détails de paiement, données à caractère personnel	Moyenne
Vol du code MFA	« Vérifiez votre identité », indique un faux message d'authentification multifactorielle	Mots de passe à usage unique, jetons de session	Critique
Arnaques par téléphone sous prétexte d'un « mauvais numéro »	Des messages bienveillants, même s'ils ne sont pas destinés à leur destinataire, qui contribuent à instaurer un climat de confiance	Exploitation financière (abattage de porcs)	Haut

L'usurpation d'identité d'institutions financières et d'organismes publics reste le type d'appât le plus courant. La campagne du FBI de 2025 sur les frais de communication — décrite en détail ci-dessous — illustre parfaitement la catégorie de l'usurpation d'identité d'organismes publics à très grande échelle. Les attaques par usurpation d'identité visant les services informatiques et les employeurs représentent le risque le plus élevé pour les entreprises, car elles ciblent les identifiants d'authentification unique (SSO) et peuvent conduire directement à des fuites de données affectant l'ensemble de l'organisation.

Les campagnes de smishing ciblées partagent de nombreuses tactiques avec phishing spear phishing, recourant à la reconnaissance sur LinkedIn et à des appâts personnalisés pour renforcer leur crédibilité. La différence réside dans le canal de diffusion — et dans les taux de clics plus élevés qu'offre le SMS.

Smishing, phishing vishing

Il est essentiel de bien comprendre les différences entre le smishing, phishing et le vishing pour mettre en place une défense efficace. Bien que ces trois techniques relèvent toutes de l'ingénierie sociale, elles se distinguent par leur mode de diffusion, leur efficacité et les mesures de contrôle nécessaires pour les détecter.

Comparaison des vecteurs d'attaque phishing, du smishing et du vishing :

Type d'attaque	Chaîne	Leurs leurres habituels	Défense clé
Phishing	Courriel	Fraude à la facture, collecte d'identifiants, malware	Passerelles de sécurité pour les e-mails, DMARC, formation des utilisateurs
Pêche au saumon	SMS, RCS, iMessage	Frais de péage, notifications de livraison, alertes de compte, demandes d'authentification multifactorielle	Protection contre les menaces mobiles, authentification multifactorielle FIDO2, filtrage des opérateurs
Vishing	Appels vocaux	Escroqueries liées à l'assistance technique, usurpation d'identité du service d'assistance, fraude fiscale	Protocoles de vérification des appels, formation des employés
Quishing	codes QR	Parcomètres, menus de restaurant, fausses factures	Vérification des URL, applications de sécurité mobile

La tendance la plus importante est la convergence. cybercriminels modernes s'appuient cybercriminels sur un seul canal. Scattered Spider combine le smishing et le vishing dans des campagnes coordonnées, et l'opération ShinyHunters menée en janvier-février 2026 a permis de compromettre plus de 15 organisations à l'aide du vishing et de l'ingénierie sociale, entraînant la fuite de plus de 50 millions d'enregistrements (Help Net Security). Les défenseurs qui traitent le smishing, phishing et le vishing comme des problèmes distincts passeront à côté des chaînes d'attaques multicanaux.

Le smishing dans la pratique : attaques réelles et avertissements du FBI

Les études de cas suivantes montrent pourquoi le smishing constitue un vecteur d'accès initial à l'échelle de l'entreprise — et non une simple nuisance pour les particuliers.

Faille chez Twilio (août 2022). Scattered Spider des SMS à des employés actuels et anciens de Twilio en se faisant passer pour le service informatique, affirmant que leurs mots de passe avaient expiré. Les employés qui ont cliqué sur le lien ont été redirigés vers un faux portail d'authentification unique (SSO). Résultat : 209 comptes clients ont été compromis, ainsi que 93 comptes d'utilisateurs finaux Authy. Leçon à retenir : la collecte d'identifiants par SMS peut compromettre l'ensemble d'une base de clients (The Hacker News).

Attaque par lassitude de l'authentification multifactorielle (MFA) chez Uber (septembre 2022). Un pirate a acheté les identifiants volés d'un employé d'Uber, l'a contacté via WhatsApp et l'a bombardé de notifications push d'authentification multifactorielle jusqu'à ce que celui-ci, exaspéré, en valide une. Le pirate a ainsi pu accéder à G-Suite, Slack et à des outils internes. La leçon à en tirer : l'authentification multifactorielle par SMS et notifications push ne suffit pas à elle seule ; les entreprises doivent mettre en place une authentification multifactorielle avec vérification du numéro de téléphone et limiter le nombre de tentatives de notification push (UpGuard).

MGM Resorts et Caesars (septembre 2023). Scattered Spider des techniques de reconnaissance sur LinkedIn ainsi que des techniques d'ingénierie sociale au niveau du service d'assistance pour obtenir des mots de passe et réinitialiser l'authentification multifactorielle (MFA). MGM a subi 100 millions de dollars de pertes au troisième trimestre. Caesars a versé environ 15 millions de dollars de rançon. La leçon à en tirer : l'ingénierie sociale contourne les contrôles techniques en ciblant les processus humains — la vérification d'identité au niveau du service d'assistance doit être renforcée (avis CISA AA23-320A).

Campagne de smishing liée aux péages routiers menée par le FBI (mars 2025). Le FBI a reçu plus de 2 000 plaintes concernant des SMS de smishing se faisant passer pour les agences de péage routier de plus de 10 États. Palo Alto Networks a identifié plus de 10 000 domaines enregistrés pour ces escroqueries, liés à des groupes cybercriminels chinois (FBI d'Atlanta). Cette campagne illustre l'ampleur avec laquelle l'infrastructure PhaaS facilite l'usurpation d'identité des autorités publiques.

Campagne multicanal de ShinyHunters (janvier-février 2026). ShinyHunters a piraté plus de 15 organisations en combinant le vishing et l'ingénierie sociale, provoquant la fuite de plus de 50 millions d'enregistrements. Cette campagne illustre la tendance à la convergence : le smishing, le vishing et l'ingénierie sociale fonctionnent désormais comme des chaînes d'attaque coordonnées, et non plus comme des tactiques isolées.

Chacun de ces incidents souligne la nécessité de disposer de plans d'intervention qui tiennent compte des compromissions provenant d'appareils mobiles et des mouvements latéraux qui suivent l'accès initial.

Détecter et prévenir le smishing

Comment repérer les SMS de smishing

Pour repérer le smishing, il ne suffit pas de se fier aux fautes de grammaire : les messages générés par l'IA sont de plus en plus soignés et exempts d'erreurs. Concentrez-vous plutôt sur ces indicateurs comportementaux :

Une urgence inattendue. « Agissez maintenant, sinon votre compte sera suspendu » est une tactique de pression destinée à empêcher toute réflexion approfondie.
Numéros d'expéditeur inconnus. Les organismes légitimes envoient rarement des messages sensibles par SMS à partir de numéros inconnus.
Les URL raccourcies ou suspectes. Les liens Bit.ly, les noms de domaine mal orthographiés et les sous-domaines inconnus constituent des signaux d'alerte.
Demandes d'identifiants ou d'informations personnelles. Aucune banque, aucun employeur ni aucune administration publique légitime ne demande de mots de passe ou de numéros de sécurité sociale par SMS.
Formules de politesse génériques. Utiliser « Cher client » ou « Cher utilisateur » au lieu de votre nom laisse souvent penser qu'il s'agit d'une campagne de masse.

Que faire si vous recevez un SMS frauduleux

Ne cliquez sur aucun lien et ne répondez pas à ce message
Transférez le SMS suspect au 7726 (SPAM) pour le signaler à votre opérateur
Signalez ce message sur ReportFraud.ftc.gov et IC3.gov
Supprimer le message
Si le message semble authentique, contactez directement l'organisation via son site web officiel ou son numéro de téléphone
Si vous avez déjà cliqué sur un lien, déconnectez-vous d'Internet, modifiez les mots de passe de tous les comptes auxquels vous vous êtes connecté, activez la surveillance de vos comptes et contactez votre établissement bancaire

Une détection efficace des menaces au niveau de l'organisation ne se limite pas à la sensibilisation des utilisateurs. Les solutions d'analyse comportementale permettent d'identifier les schémas d'authentification anormaux, les tentatives d'accès inhabituelles et l'utilisation abusive des identifiants qui font suite à une attaque de smishing réussie, même lorsque le message initial n'a pas été intercepté.

Cadre de protection contre le smishing en entreprise

Les conseils destinés aux consommateurs — « ne cliquez pas sur des liens suspects » — sont nécessaires, mais insuffisants pour assurer la sécurité des entreprises. Les organisations ont besoin d'une architecture de défense multicouche capable de lutter contre le smishing tout au long du cycle de vie de l'attaque.

Authentification multifactorielle (MFA)Phishing. Remplacez les mots de passe à usage unique par SMS par des clés de sécurité matérielles FIDO2/WebAuthn ou par l'authentification biométrique. La norme NIST SP 800-63 limite l'authentification par SMS pour les systèmes fédéraux, et le guide des meilleures pratiques en matière de communications mobiles publié par la CISA en décembre 2024 déconseille explicitement l'utilisation de l'authentification multifactorielle par SMS. Il ne s'agit plus d'une simple recommandation, mais d'une exigence de sécurité minimale. Le document CIO-IT Security-21-112 Rev 1 de la GSA, publié en janvier 2026, impose l'authentification multifactorielle phishing pour les systèmes non fédéraux traitant des informations non classifiées contrôlées.

Protection contre les menaces mobiles (MTD). Déployez des solutions MTD sur les appareils mobiles de l'entreprise afin de détecter et de bloquer les liens malveillants en temps réel, conformément aux recommandations du guide « CIS Controls Mobile Companion Guide ».

Application des politiques MDM/MAM. La gestion des appareils mobiles et la gestion des applications mobiles permettent d'appliquer les politiques de sécurité, d'empêcher l'installation d'applications non autorisées et d'effacer à distance les données des appareils compromis.

Formation par simulation de smishing. Élargissez vos programmes phishing pour y inclure des exercices par SMS. Les entreprises qui se contentent de tester la sensibilisation aux e-mails négligent un canal où les taux de clics sont quatre à sept fois plus élevés (Hoxhunt).

Renforcement de la sécurité des services d'assistance. Les violations de données chez MGM et Caesars ont démontré que l'ingénierie sociale contourne les contrôles techniques en ciblant les processus humains. Mettez en place une vérification d'identité à plusieurs niveaux pour toutes les réinitialisations d'identifiants, comme le recommande l'avis AA23-320A de la CISA.

SIEM. Harmonisez les alertes de menaces mobiles avec les workflows opérationnels existants du SOC. Les compromissions initiées par le smishing génèrent les mêmes comportements post-accès (utilisation abusive des identifiants, élévation de privilèges, mouvement latéral) que tout autre vecteur d'accès initial. Votre SOC a besoin d'une visibilité sur tous les canaux.

MITRE ATT&CK pour le smishing

Correlation du smishing avec le MITRE ATT&CK permet aux équipes d'ingénierie de détection de mettre en place des analyses ciblées et aux équipes de conformité de documenter la couverture. Aucun concurrent majeur ne propose actuellement cette mise en correspondance, alors qu'elle est fondamentale pour les opérations de sécurité des entreprises.

MITRE ATT&CK pertinentes pour les attaques par smishing :

ID de la technique	Nom de la technique	Tactique	Lien avec le smishing	Stratégie de détection
T1566	Phishing: Lien vers le spearphishing	Accès initial (Entreprise)	SMS contenant des liens malveillants visant les identifiants des entreprises	Surveiller les authentifications anormales provenant de nouveaux appareils après la saisie des identifiants
T1660	Phishing mobile)	Accès initial (mobile)	Couvre explicitement phishing par SMS phishing vecteur d'accès initial sur mobile	Solutions MTD permettant de détecter les URL malveillantes sur les appareils mobiles
T1566.003	Hameçonnage via un service	Accès initial (Entreprise)	Smishing envoyé via iMessage, RCS ou WhatsApp	Surveiller le trafic des services de messagerie tiers à la recherche d'indicateurs de collecte d'identifiants
T1636.004	Données utilisateur protégées : messages SMS	Collection (Mobile)	Collecte de SMS, y compris les codes d'authentification à deux facteurs, après compromission du système	Détecter les accès non autorisés aux API SMS ou aux bases de données de messages sur les appareils mobiles
T1582	Commande par SMS	Command and Control mobile)	Malware les fonctionnalités SMS d'appareils piratés pour propager des messages de smishing	Surveiller les schémas anormaux d'envoi de SMS à partir des appareils gérés par l'entreprise

Contexte réglementaire et de conformité

La protection contre le smishing en entreprise s'inscrit directement dans les cadres de conformité établis :

Fonctions du NIST CSF. Identification (inventaire des actifs, y compris les appareils mobiles), protection (authentification multifactoriellephishing), détection (détection des menaces mobiles et analyse comportementale), réaction (réponse aux incidents liés à des compromissions provenant d'appareils mobiles).
NIST SP 800-63. Limite l'authentification par SMS pour les systèmes fédéraux en raison des risques liés à l'usurpation de carte SIM et à l'interception.
Recommandations de la CISA et du FBI de décembre 2024. Elles déconseillent formellement l'authentification multifactorielle (MFA) par SMS à toutes les organisations, et pas seulement agences gouvernementales.
Contrôle CIS n° 14. Formation à la sensibilisation à la sécurité et aux compétences, abordant le smishing en tant que vecteur d'attaque distinct.
Guide d'accompagnement mobile de CIS Controls. Recommande les technologies MDM, MTD et les antivirus mobiles pour la protection des appareils mobiles d'entreprise.

Approches modernes de la lutte contre le smishing

Le secteur de la sécurité fait évoluer son approche du smishing, passant d'une stratégie axée uniquement sur la prévention à une stratégie de détection et de réaction. Selon une étude agrégée portant sur la période 2025-2026, les modèles de détection basés sur l'IA atteignent désormais un taux de détection du smishing de 96,2 %, contre 25 à 35 % pour les outils de filtrage commerciaux traditionnels. Cet écart met en évidence les limites des approches basées sur des règles et des signatures face aux leurres multilingues générés par l'IA et diffusés simultanément via les canaux SMS, RCS et iMessage.

L'analyse comportementale joue un rôle essentiel dans la lutte contre le smishing au niveau de l'entreprise. Plutôt que de tenter de bloquer chaque SMS malveillant — une tâche de plus en plus difficile —, les entreprises ont tout intérêt à détecter les comportements post-compromission qui font suite à une attaque de smishing réussie : utilisation anormale des identifiants, mouvements latéraux à travers les réseaux et cloud , élévation des privilèges et exfiltration de données. Une détection unifiée sur l'ensemble de la surface d'attaque — réseau, identités, cloud et SaaS — garantit que les compromissions initiées par le smishing sont détectées, quel que soit le canal d'accès initial.

Les organisations qui évaluent les solutions de détection et de réponse gérées (MDR) et détection et réponse aux incidents (NDR) devraient vérifier si ces solutions offrent une visibilité sur la chaîne d'activités post-compromission déclenchée par le smishing, et pas seulement sur l'envoi du SMS lui-même.

Vectra AI en matière de protection contre le smishing

Le smishing constitue souvent la première étape d’une attaque en plusieurs phases. La solution « Attack Signal Intelligence » Vectra AI Attack Signal Intelligence sur la détection des comportements post-compromission qui font suite à une attaque de smishing réussie — utilisation abusive des identifiants, déplacement latéral, élévation de privilèges et exfiltration de données — sur l’ensemble du réseau moderne, qu’il s’agisse d’environnements sur site, cloud, d’identités ou de SaaS. Cette approche « assume-compromise » signifie que même lorsqu'un message de smishing contourne les contrôles de prévention, les actions ultérieures de l'attaquant sont détectées et hiérarchisées grâce à une analyse comportementale basée sur l'IA, plutôt que de se fier uniquement aux signatures. En corrélant les signaux entre la détection et la réponse aux menaces d'identité (ITDR) et la détection réseau, Vectra AI les équipes SOC Vectra AI identifier et Vectra AI bloquer les attaques qui commencent par un SMS.

Tendances futures et considérations émergentes

Le paysage des menaces liées au smishing évolue sur plusieurs fronts, et les entreprises doivent se préparer à plusieurs changements majeurs au cours des 12 à 24 prochains mois.

L'adoption du RCS élargit la surface d'attaque. L'adoption du RCS par Apple en 2025 signifie que les plateformes PhaaS disposent désormais de trois canaux de messagerie — SMS, RCS et iMessage — à exploiter. Les messages RCS peuvent comporter une mise en forme plus riche et des éléments de marque qui rendent les leurres de smishing plus convaincants, et le niveau de sécurité des implémentations RCS varie selon l'opérateur et le fabricant de l'appareil.

L'IA générative accélère la sophistication du smishing. L'intégration de l'IA générative dans les plateformes PhaaS (comme l'a démontré Darcula en avril 2025) permet de créer à grande échelle des leurres automatisés, multilingues et personnalisés en fonction du contexte. Les entreprises doivent s'attendre à ce que les messages de smishing deviennent de plus en plus difficiles à distinguer des communications légitimes, rendant ainsi obsolète la détection basée sur la grammaire.

La dynamique réglementaire s'accélère. La publication de la norme NIST SP 800-63-4 devrait être finalisée en 2026, ce qui renforcera probablement les restrictions relatives à l'authentification par SMS. L'obligation imposée par la GSA en janvier 2026 d'adopter une authentification multifactorielle (MFA) phishing sur les systèmes traitant des informations non classifiées mais soumises à contrôle témoigne d'une initiative fédérale plus large que les organisations du secteur privé suivront probablement. Les responsables de la sécurité devraient commencer dès maintenant à planifier la migration vers FIDO2 plutôt que d'attendre que ces obligations soient imposées.

L'infrastructure PhaaS continue de se décentraliser. Malgré les poursuites judiciaires engagées par Google au titre de la loi RICO et les opérations menées par les forces de l'ordre, les plateformes PhaaS reconstituent rapidement leur infrastructure. Les entreprises devraient investir dans la vérification en temps réel de la réputation des URL, la détection basée sur l'IA et l'analyse comportementale post-compromission, plutôt que de se fier uniquement au filtrage au niveau des opérateurs.

Conclusion

Le smishing, qui n'était au départ qu'une simple nuisance pour les consommateurs, est désormais devenu l'un des vecteurs d'accès initiaux les plus efficaces menaçant la sécurité des entreprises. La combinaison de taux de clics élevés sur les SMS, d'une infrastructure PhaaS industrialisée et de l'IA générative signifie que le volume, la sophistication et le taux de réussite des attaques de smishing continueront d'augmenter.

La solution ne réside pas uniquement dans la prévention. Les entreprises qui partent du principe qu’une intrusion est inévitable — en reconnaissant que certains messages de smishing parviendront jusqu’aux employés et que certains d’entre eux cliqueront dessus — sont mieux à même de détecter et de bloquer les attaques avant qu’elles ne causent des dommages. Cela nécessite une authentification multifactorielle (MFA) phishing, une protection contre les menaces mobiles, des formations par simulation, des processus renforcés et une détection comportementale capable d’intercepter les attaquants après leur accès initial.

La meilleure défense contre le smishing est la même que celle qui s'applique à tous les vecteurs d'accès initiaux : une visibilité sur l'ensemble de la surface d'attaque, des signaux générés par l'IA permettant de faire le tri parmi les informations parasites, et la capacité d'agir avant que les attaquants n'atteignent leurs objectifs.

Découvrez comment Vectra AI les menaces post-intrusion dans les environnements réseau, d'identité, cloud et SaaS.

Foire aux questions

Qu'est-ce que le smishing ?

Le smishing ( phishing par SMS) est une attaque d'ingénierie sociale dans laquelle des cybercriminels envoient des SMS frauduleux afin d'inciter les destinataires à cliquer sur des liens malveillants, à divulguer des informations sensibles ou à installer malware. Il s'agit d'une variante du phishing utilise les SMS, le RCS ou iMessage comme canal de diffusion à la place des e-mails. Le terme est une combinaison de « SMS » et de «phishing ». Le smishing s'inscrit dans la taxonomie plus large du « mishing », un terme générique désignant l'ensemble phishing ciblant les appareils mobiles. Selon l'étude de Zimperium pour 2025, les attaques par SMS représentent 69,3 % de l'ensemble phishing ciblant les appareils mobiles, faisant du smishing le vecteur d'attaque mobile dominant. Pour les entreprises, le smishing représente un risque important car les taux de clics sur les SMS varient entre 8,9 % et 14,5 %, dépassant de loin le taux d'environ 2 % observé pour phishing par e-mail. Les violations de données très médiatisées chez Twilio, Uber et MGM Resorts ont toutes impliqué des techniques d'ingénierie sociale par SMS ou sur mobile comme vecteur d'accès initial.

Quelle est la différence entre le smishing et phishing?

Phishing se présente Phishing par e-mail, tandis que le smishing est diffusé par SMS, RCS ou iMessage. La différence fondamentale réside dans le canal de diffusion, mais cette distinction a des implications importantes en matière de sécurité. Les messages de smishing enregistrent des taux de clics nettement plus élevés (8,9 à 14,5 % contre environ 2 % pour les e-mails), car les gens font davantage confiance aux SMS et les lisent plus rapidement. phishing par e-mail phishing être intercepté par les passerelles de sécurité des e-mails d'entreprise, les politiques DMARC et les outils de sandboxing. Le smishing arrive souvent sur des appareils mobiles personnels qui ne disposent pas de contrôles de sécurité équivalents, ce qui rend sa détection et son blocage plus difficiles pour les organisations. Ces deux types d'attaques utilisent des tactiques d'ingénierie sociale — urgence, usurpation d'autorité et peur — pour manipuler les destinataires. cybercriminels les plus sophistiqués combinent cybercriminels ces deux canaux dans des campagnes en plusieurs étapes, utilisant le smishing pour le contact initial et phishing par e-mail phishing la collecte ultérieure des identifiants.

Comment savoir si un SMS est une tentative de smishing ?

Soyez attentif aux indices suivants : une urgence inattendue (« agissez immédiatement ou votre compte sera fermé »), des numéros d'expéditeur inconnus, des URL raccourcies ou suspectes (liens bit.ly, noms de domaine mal orthographiés), des demandes d'informations personnelles ou d'identifiants, ainsi que des formules de politesse génériques telles que « Cher client ». Il est toutefois important de noter que les messages de smishing générés par l'IA sont de plus en plus exempts d'erreurs ; la grammaire et l'orthographe ne constituent donc plus à elles seules des indicateurs fiables. Les campagnes de smishing les plus sophistiquées utilisent des informations personnalisées recueillies sur les réseaux sociaux ou issues de fuites de données. En cas de doute, ne cliquez sur aucun lien. Contactez plutôt l'organisation directement via son site web officiel ou son numéro de téléphone. Les organisations légitimes ne demandent jamais de mots de passe, de numéros de sécurité sociale ou d'informations de paiement par SMS.

Que dois-je faire si je reçois un SMS frauduleux ?

Ne cliquez sur aucun lien et ne répondez pas au message. Transférez le SMS au 7726 (SPAM) pour le signaler à votre opérateur, puis signalez-le sur ReportFraud.ftc.gov et IC3.gov. Supprimez le message après l'avoir signalé. Si vous pensez que le message est légitime (par exemple, une notification de livraison alors que vous attendez un colis), contactez directement l'organisation via son site web officiel ou son numéro de téléphone, et non via un lien figurant dans le SMS. Si vous travaillez pour une organisation disposant d'une équipe chargée de la sécurité, signalez également le message à votre service de sécurité informatique. Votre signalement aidera le SOC à déterminer si le message s'inscrit dans le cadre d'une campagne plus large visant l'organisation.

Que se passe-t-il si vous cliquez sur un lien de smishing ?

En cliquant sur un lien de smishing, vous êtes généralement redirigé vers une page destinée à récupérer vos identifiants, conçue pour ressembler à un portail de connexion légitime (votre banque, le système d'authentification unique de votre employeur, un site de paiement de péage), ou cela peut déclencher malware sur votre appareil. Si vous avez cliqué, prenez immédiatement les mesures suivantes : déconnectez votre appareil d'Internet, modifiez les mots de passe de tous les comptes pour lesquels vous avez saisi des identifiants, activez la surveillance des comptes et les alertes de fraude, contactez votre établissement financier si vos informations de paiement ont été exposées, et signalez l'incident à votre équipe de sécurité informatique. Le temps est un facteur crucial : plus vous agissez rapidement, moins l'attaquant aura l'occasion d'utiliser les identifiants volés pour Usurpation de compte se déplacer latéralement vers d'autres systèmes.

Le smishing est-il un délit ?

Oui. Le smishing est une forme de fraude et est illégal dans la plupart des juridictions à travers le monde. Aux États-Unis, le smishing peut faire l'objet de poursuites en vertu des lois fédérales sur la fraude électronique (18 U.S.C. 1343), de la loi sur la fraude et les abus informatiques (18 U.S.C. 1030) et de diverses lois étatiques sur la fraude. Le Royaume-Uni a également activement poursuivi les opérateurs de smishing, notamment dans une affaire de 2025 impliquant des individus utilisant des émetteurs de SMS montés sur des véhicules pour envoyer des messages de smishing en masse. Google a intenté des poursuites en vertu de la loi RICO (Racketeer Influenced and Corrupt Organizations Act) contre les opérateurs des plateformes Darcula et Lighthouse PhaaS fin 2025, démontrant ainsi que les poursuites judiciaires s'étendent aux fournisseurs d'infrastructure, et pas seulement aux individus envoyant les messages.

Quelle est la meilleure façon de se protéger contre le smishing ?

Pour les entreprises, la défense la plus efficace repose sur une approche multicouche : une authentification multifactorielle (MFA) phishing(FIDO2/WebAuthn) plutôt que des mots de passe à usage unique par SMS, des solutions de défense contre les menaces mobiles (MTD) sur les appareils d'entreprise, des formations par simulation de smishing parallèlement à phishing par e-mail, des procédures renforcées de vérification d'identité au niveau du service d'assistance, ainsi qu'une intégration SIEM pour harmoniser les alertes de menaces mobiles avec les flux de travail du SOC. La détection post-compromission par l'analyse comportementale est tout aussi importante : elle permet de repérer l'utilisation abusive des identifiants, les mouvements latéraux et l'escalade des privilèges qui suivent une attaque de smishing réussie. Pour les particuliers, il ne faut jamais cliquer sur les liens contenus dans des SMS inattendus, vérifier l'identité des expéditeurs via les canaux officiels, transférer les messages suspects au 7726 et les signaler à la FTC. Aucune mesure de contrôle isolée n'est suffisante. Une défense efficace contre le smishing nécessite des contrôles techniques multicouches, du personnel formé et des capacités de détection qui vont au-delà du message initial.

Qu'est-ce que le mishing ?

Le « mishing » est un terme générique désignant l'ensemble phishing ciblant les appareils mobiles. Ce terme, inventé par la société de sécurité mobile Zimperium, englobe le smishing ( phishing par SMS), le vishing ( phishing par appel vocal), le quishing ( phishing par code QR) et d'autres vecteurs d'attaque mobile. Selon le rapport 2025 Global Mobile Threat Report de Zimperium, le smishing représente 69,3 % de toutes les attaques de mishing, ce qui en fait la sous-catégorie dominante. La taxonomie du mishing aide les équipes de sécurité à prendre conscience que les appareils mobiles sont confrontés à un éventail coordonné de menaces d'ingénierie sociale, et non pas seulement à des types d'attaques isolés. Il est important de comprendre cette taxonomie car les attaquants modernes combinent de plus en plus plusieurs vecteurs de mishing au sein d'une même campagne — par exemple, en envoyant un SMS de smishing suivi d'un appel de vishing pour renforcer leur crédibilité.

Quelle est la différence entre le smishing et le quishing ?

Le smishing consiste à envoyer phishing par SMS (SMS, RCS ou iMessage), tandis que le quishing utilise des codes QR pour rediriger les victimes vers des sites web malveillants ou déclencher malware . phishing code QR phishing développé parallèlement à l'utilisation croissante des codes QR dans la vie quotidienne — parcmètres, menus de restaurant et enregistrement à des événements. Ces deux techniques constituent des sous-catégories du mishing ( phishing ciblant les appareils mobiles) et visent souvent les mêmes types d'informations : identifiants, informations de paiement et données personnelles. La principale différence en matière de défense réside dans le fait que le smishing peut être partiellement contré par un filtrage au niveau de l'opérateur et des solutions MTD, tandis que le quishing nécessite des outils de sécurité mobile capables d'inspecter les destinations des codes QR avant leur chargement. Certaines campagnes combinent les deux techniques, en envoyant un SMS de smishing contenant un code QR plutôt qu'un lien cliquable.

Comment prévenir les attaques par smishing sur le lieu de travail ?

La prévention du smishing en entreprise nécessite une approche à plusieurs niveaux. Premièrement, passez d'une authentification multifactorielle (MFA) par SMS à des solutions phishing telles que FIDO2/WebAuthn — la CISA et le NIST le recommandent tous deux. Deuxièmement, déployez une solution de défense contre les menaces mobiles sur tous les appareils mobiles de l'entreprise afin de détecter et de bloquer les URL malveillantes en temps réel. Troisièmement, mettez en place des programmes de simulation de smishing en complément phishing existantes phishing par e-mail afin d'évaluer et d'améliorer la résilience des employés sur l'ensemble des canaux. Quatrièmement, renforcez les procédures de vérification d'identité du service d'assistance pour empêcher les réinitialisations par ingénierie sociale, comme l'ont démontré les violations de MGM et de Caesars. Cinquièmement, intégrez les alertes de menaces mobiles dans vos workflows SIEM et SOC afin que les compromissions initiées par le smishing bénéficient de la même rigueur de réponse que tout autre vecteur d'accès initial. Enfin, investissez dans la détection post-compromission capable d'identifier l'utilisation abusive des identifiants, les mouvements latéraux et l'exfiltration de données, quelle que soit la manière dont l'attaquant s'est introduit.